Proxmox web server certificate — Andreas Stenius.
Bon, ça peut être pratique de générer et installer soi même les certificats… Pour ma par j’ai eu pas mal de soucis et il me génère des certificats assez bizarres.
Note pour plus tard : configurer mod_cache et consors
Comme j’ai deux serveurs, je dois tout faire en double. Faute de m’être penché sur un système de déploiement de configurations, je fait du doublon.
Actuellement l’un des serveurs est plus avancé que l’autre notamment en terme de configuration apache2. Notamment pour l’optimisation avec mod_cache et ses copains genre mod_deflate. Quelques bon articles a suivre pour cela (défait fait avec l’un des serveurs) :
- http://nicolas.steinmetz.fr/journal/post/2008/09/16/Optimisation-apache-mod_deflate-mod_expires-ETag
- http://dotclear.placeoweb.com/post/Apache-optimisation
Encore du boulot !
Configurer AWStats sur son serveur
J’avais déjà fait une configuration d’un moteur de statistiques pour analyser le trafic sur mes sites, mais seulement sur un seul de mes deux serveurs. Le choix s’était porté à l’époque sur AWStats. C’est simple et efficace. Comme je n’ai pas été spécialement déçu, je reproduis la configuration sur mon autre serveur. C’est donc l’occasion de référencer l’excellent article qui m’a servi de base pour la configuration :
http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-awstats-sur-debian-4-0-etch
Il n’y a vraiment qu’a suivre ce qui est indiqué, commande par commande. C’est pas mal du tout, un bon auteur !
2 astuces sur l'utilisation de certificats pour faire du HTTPS sur apache2
1/ Si vous voulez démarrer automatiquement votre serveur sans devoir saisir la passphrase à chaque fois :
cp a.key temp
openssl rsa -in temp -out a.key
2/ Les vhost apache2 et les certificats SSL
Vous ne pouvez pas avoir plusieurs certificats SSL (simples pour 1 domaine unique) différents sur un même serveur apache, même avec plusieurs VHOST. La raison est simple : le canal SSL est monté en tout premier. Or, l’échange HTTP dans le tunel SSL se fait en second lieu. Malheureusement pour nous, c’est lors de cet échange HTTP initial que apache va voir les entêtes lui indiquant le domaine demandé et ainsi fournir le bon VHOST.
Or un certificat SSL de base est donné pour un domaine précis xxx.com. Si vous installez ce certificat, toutes les requêtes HTTPS seront servies avec ce certificats. Or vous aurez sans doute des VHOST sur des domaines différents genre yyy.com. Pas de bol erreur HTTPS en vue.
Solution : il n’y en à pas 36, soit prendre un certificat plus évolué (plus cher donc) soit ruser. Pour ruser, il va falloir utiliser des IP logiques et demander à apache (et la partie réseau de votre serveur) de servir ses IP. Ainsi pas de confusion possible si vous associez chaque domaine avec un certificat à une IP différente (même si elles aboutissent toutes sur le même serveur, la différence sera faite en fonction de l’IP attaquée).
Un exemple de configuration d’IP logique sur la partie serveur (le plus dur a retrouver pour moi :p )
# The primary network interface
auto eth0
iface eth0 inet static
address XX.XXX.134.160
netmask 255.255.255.0
network 88.191.134.0
broadcast XX.XXX.134.255
gateway XX.XXX.134.1
# Service IP
auto eth0:0
iface eth0:0 inet static
address XX.XXX.232.46
netmask 255.255.255.255
Voila, j’espère que c’est clair, vu l’heure je suis fatigué, mais tant que j’ai le courage de mettre mes notes au propre…
Optimiser sa configuration serveur : liens en vrac
Avant de faire un meilleur article pour mémoire voici quelques liens que j’ai essayé de suivre pour l’optimisation de ma configuration serveur. C’est en vrac, à voir pour remettre en forme tout cela. Au moins c’est déjà une première note filtrée sur des résultats que j’ai pu estimer disons suffisamment « intéressant » pour tester en vrai !
- http://www.exinsidephp.com/2010/06/23/optimiser-les-performances-mysqlapachephp/ (non testé)
- http://dotclear.placeoweb.com/post/Apache-optimisation (testé en partie, sur des conf récente c’est globalement fait par défaut)
- http://www.howtoforge.com/caching-with-apache-mod_cache-on-debian-etch-p2 (testé vite fait : juste l’install de mod_cache)
- http://dasini.net/blog/2009/10/12/mysql-query-cache/ (lu rapidement, mais le cache de requête est visiblement fait par défaut sur une conf mysql récente)
- http://benjamin.sonntag.fr/a46-mod_expires_ou_comment_economiser_de_la_bande_passante.html (lu rapidement, mais j’ai juste installé rapidement mod_expires)
- http://nicolas.steinmetz.fr/journal/post/2008/09/16/Optimisation-apache-mod_deflate-mod_expires-ETag (très bon article, j’ai « presque » suivi à la lettre)
- http://www.queret.net/blog/post/2007/04/13/76-optimisation-apache2 (lu simplement, cela recoupe quelques liens cités précédemment)
- http://t37.net/le-tuning-apache-pour-augmenter-les-performances-de-votre-application-web.html (très bon article de fond !)